O que é o ransomware?
Ransomware é um tipo de software malicioso (malware) que impede os utilizadores de acederem aos dispositivos ou ficheiros infetados a menos que seja pago um resgate.
Afeta computadores pessoais (desktops, laptops), servidores e outros dispositivos (tablets e smartphones). Embora a maioria das infeções se registem em sistemas Windows, existem versões que afetam sistemas macOS, iOS, Linux e Android.
Como funciona o ransomware?
Um ataque de ransomware divide-se em três fases: infeção, sequestro e extorsão. Quando bem-sucedido, é rápido, podendo demorar apenas alguns minutos desde o início da infeção até à perda de acesso ao sistema/ficheiros e consequente pedido de resgate.
CryptoLocker, TorrentLocker, CryptoWall, Fusob, UltraCrypter e Locky são alguns dos nomes mais conhecidos de ransomware.
Infeção por ransomware
A infeção por ransomware depende da execução de código malicioso. Para que isso aconteça, os atacantes recorrem a diversas estratégias. As mais comuns são o envio de mensagens de email com anexos maliciosos, atualizações de software falsas, exploração de falhas de segurança em versões antigas de software e sistemas operativos desatualizados.
Sequestro digital
As versões mais recentes de ransomware, denominadas "cripto-ransomware", atuam de duas formas: bloqueiam o sistema infetado (blockers), tornando-o inutilizável, ou cifram ficheiros (cryptors), impossibilitando a sua abertura ou execução.
O ransomware recorre a métodos de criptografia eficientes para bloquear o sistema ou o acesso a documentos, apresentações, imagens, músicas e vídeos, entre outros tipos de ficheiros mais comuns. Na maioria dos casos de ransomware, é impossível restaurar o acesso aos ficheiros infetados sem o código chave que apenas os atacantes possuem.
Quando infetado por ransomware, o sistema apresenta uma mensagem (surgindo uma nova janela ou alterando o fundo do ambiente de trabalho) com o procedimento a efetuar para pagar o resgate e remover o bloqueio.
Extorsão digital
Quando um computador, servidor ou outro dispositivo é infetado, é exigido o pagamento de um resgate, habitualmente em Bitcoins, para que seja fornecida a senha que permite voltar a ter acesso ao sistema ou ficheiros afetados. Apesar do que os atacantes possam afirmar, não é garantido que o utilizador volte a ter acesso ao sistema ou aos ficheiros.
Como se proteger de ransomware?
A prevenção é a forma mais adequada de se proteger dos ransomware.
Se suspeitar que foi infetado com ransomware, desconecte imediatamente o dispositivo da rede.
Faça cópias do segurança (backups) regularmente. Além de ransomware, os sistemas estão expostos a outros tipos de malware (vírus, trojans, spyware, etc.). É importante ter cópias de segurança para poder restaurar ficheiros de forma fácil e rapida. É igualmente importante testar os backups para se verificar que estão a ser bem efetuados e que é possível serem corretamente restaurados.
Armazenar uma cópia de segurança recente numa unidade onde os ficheiros não possam ser alterados. O ransomware afeta ficheiros que tenham permissão de escrita, incluindo os que estão armazenados em pastas nas clouds (Dropbox, Google Drive, One Drive, etc) e unidades externas USB, entre outros suportes.
Utilizar software que permita neutralizar ameaças em tempo real, como bloquear acesso a websites que contêm código malicioso e analisar os downloads efetuados.
Não ativar macros em documentos recebidos por email. Os anexos maliciosos são uma das principais fontes de infeção do ransomware. Os atacantes tentam persuadir os utilizadores a ativar as macros para depois serem infetados.
Não clicar em ligações ou visitar websites provenientes de mensagens de email suspeitas. Habitualmente, os atacantes incentivam os utilizadores a tomar ações impulsivas como abrir um documento ou clicar numa ligação que pode resultar na infeção. Para tal, enviam mensagens de correio eletrónico, fazendo-se passar por entidades governamentais (Autoridade Tributária/Finanças, por exemplo), forças de autoridade (PJ, PSP, FBI ou CIA) ou empresas conhecidas (Paypal, Fedex ou DHL). O conteúdo das mensagens é geralmente de caráter urgente e/ou intimidatório, requerendo que o utilizador efetue uma ação imediata, como abrir um documento ou visitar um website para resolverem uma "falsa" situação. Habitualmente, para efetuar estas ações, o utilizador terá que instalar ou executar algum tipo de software que por fim se revela malicioso.
Mostrar extensões de nome de ficheiro. Alguns ficheiros que contêm código malicioso adicionam extensões ao nome de ficheiros, fazendo-os parecer extensões inofensivas. Ao ter esta opção ativa, o utilizador poderá visualizar facilmente o tipo de ficheiro que está a tentar abrir (por exemplo: "extrato.pdf" passa a "extrato.pdf.exe", no caso de lhe terem enviado um ficheiro executável).
Não utilizar permissões de administrador/root se não for necessário. Um utilizador sem permissões de administrador é suficiente para executar grande parte das tarefas mais habituais num dispositivo. Desta forma, mesmo que o código malicioso seja executado, há possibilidade de não ter as permissões necessárias para fazer alterações que ponham em risco o sistema.
Criar restrições de permissão de escrita em servidores de ficheiros sempre que possível.
Instalar as atualizações de segurança mais recentes para o sistema operativo e/ou outro software instalado.
Alertar os utilizadores para a ameaça e definir um procedimento para quando suspeitarem de algum email, pop-up, ficheiro ou programa malicioso.
A melhor solução é preparar-se para que um possível ataque de ransomware não seja eficaz.
Como remover ransomware?
Se foi infetado pelo ransomware, entre em contacto com especialistas em segurança informática para o aconselharem sobre o melhor procedimento.
A recuperação de sistemas ou ficheiros infetados pelo ransomware é muito improvável caso não tenha cópias de segurança. Muitas pessoas, em desespero, acabam por pagar o resgate para reaverem os seus ficheiros. No entanto, nada garante que a chave de desencriptação seja enviada, que os atacantes não irão exigir mais pagamentos ou que o sistema não tenha sido afetado por mais do que uma versão de ransomware.
A forma mais rápida e mais económica de recuperar os ficheiros infetados com ransomware é restaurar uma cópia de segurança.
Existem ferramentas gratuitas que ajudam a recuperar os ficheiros infetados sem necessitar de pagar o resgate. Estas ferramentas funcionam apenas em versões conhecidas, para as quais já foi possível criar uma ferramenta de desencriptação (decryption tool). Ainda assim não foi possível desenvolver ferramentas que funcionem em todos os tipos de ransomware.
É essencial que o malware seja removido do sistema antes de restaurar os ficheiros. Caso contrário, o sistema/ficheiros voltarão a ser infetados. Para isso, pode ser utilizado um antivírus ou outro programa de proteção.
É necessário ter em atenção que este passo não restaura o acesso aos ficheiros, apenas garante que o sistema está livre do código malicioso que cifra os ficheiros.
"O conselho principal é não pagar o resgate. Ao enviar dinheiro aos cibercriminosos só está a confirmar que o modelo do ransomware funciona, para além de não haver garantia nenhuma que irá recuperar a chave de decifragem necessária para desbloquear os seus ficheiros." (No More Ransom)
Onde encontrar ferramentas gratuitas para remover ransomware?
No website "No More Ransom" encontram-se ferramentas de desencriptação para algumas versões de ransomware (Coinvault, WildFire, Chimera, Teslacrypt, Jigsaw, entre outros). Este website é uma iniciativa da Unidade de Crime de Alta Tecnologia da Polícia Holandesa, do European Cybercrime Centre (EC3) da Europol e de duas empresas de cibersegurança, com o objetivo de ajudar as vítimas de ransomware a recuperar os seus ficheiros cifrados sem terem que pagar a criminosos.
Proteja os seus ficheiros de ransomware
O ransomware é a maior ameaça virtual de 2017 e afeta tanto empresas como indivíduos em grande escala. Não seja vítima de extorsão digital. Proteja os seus ficheiros, proteja o seu negócio.